开博体育重庆绿色金融发展报告,2022,编写组主编,马天禄副主编,李铀统稿,胡资骏韩鑫韬汪会敏编写人员,郭黎萱陶黎覃巧玲黄若冰杨鸿森孔文佳牟思思龙艺兰翔提供材料,重庆市发展改革委,市财政局,市生态环境局,市农.
摘要随着的到来,手机中的设计也日益愈加复杂,使得手机制造商更难满足严格的性能要求,由于手机包括更多天线,支持更多频段,在所有使用条件和频率下保持天线性能变得越来越具有挑战性,阻抗调谐器可在不同的条件下.
太赫兹技术基础研究报告白皮书,版本,博士,目录引言,下一代无线通信标准,从到愿景与关键技术,研究领域,太赫兹波的特性和应用,毫米波和太赫兹频率的新频谱,太赫兹的应用,大量应用场景尚待探索,太赫兹波在大.
世界五大知识产权局世界五大知识产权局统计报告统计报告20192019年年2019年世界五大知识产权局统计报告欧洲专利局日本特许厅韩国特许厅中国国家知识产权局美国专利商标局执笔局,中国国家知识产权局,2.
10年中国专利诉讼报告案件趋势分析201301 至 202305 知识产权案件共审结 74,662 件,以下为案件审结量年分布情况。其中,民事案件审结 61,327 件,占总量的 82.14%。专利类型分布审结的一审案件中,涉及发明、实用新型以及外观的案件占比分别为 33.33%、27.13%、39.53%。二审案件中,涉及外观设计的案件占比最高,达到 39.62%。案件地域分布审结的案件涉及 31个省/直辖市/自治区,其中,广东、北京、浙江案件数量排在前列。法院分布该图显示了最高法院、基层法院、知识产权专门法院等之间的案件数量分布情况。通过了解占比情况,帮助了解中国专利诉讼主要在哪些法院进行。案由分布该图显示中国诉讼案件主要案由分布情况。专利类型分布侵权案件中,涉及发明、实用新型以及外观的案件占比分别为 14.78%、29.11%、56.1%,涉及外观设计案件量最多。技术领域分布涉及发明和实用新型的案件中,H04N、F21V、F21Y成为诉讼热点聚焦领域;而涉及外观设计的案件中,26-05领域案件最为集中。案由分布该图显示中国诉讼案件中,侵权案件的主要案由分布情况。热门领域Top10原告/被告该图显示了发生诉讼的热门技术领域中排名前10位的原告和被告。帮助了解这些技术领域中谁发起了最多的诉讼,他们可能会是风险来源。无效案件占比分析该图显示了中国诉讼案件的年度侵权案件趋势以及伴随无效案件的数量和百分比。通过了解无效请求百分比的变化,可以帮助判断历年来发生诉讼时,企业选择无效来解决案件的倾向性。相对而言,专利权无效是一种成本较低的侵权诉讼应对方法。Insights对于外部数据所作出的决定不承担任何责任:本报告(包括任何附件)将会为您带来独家的权益及优势。如果本报告用于其他特殊用途或者第三方团体使用本报告作于特殊目的,智慧芽公司,其下属员工,包括其合作伙伴或代理商将不承担任何责任。本报告中的所有信息均严格符合平台规则,但不能完全保证信息的完整性、准确性及所得结果的准确性;本报告中不包含任何明示或暗示的保证信息,且不包含不适用于特定用途的说明。在任何情况下,根据本报告中所包含的信息或者分析结果所引发造成的损失和最终决策意见,智慧芽公司,其下属员工,包括其合作伙伴或代理商将不承担任何责任。除非智慧芽公司事先明确书面同意,本报告任何部分均不得转载,分发或传达给任何第三方。
Gartner:使用信息安全项目成熟路线 Gartner,Inc.及/或其关联公司版权所有。保留所有权利。CM_GTS_1390702Gartner IT领导者领导者使用信息安全项目成熟路使用信息安全项目成熟路线图,保护企业商业资产线图,保护企业商业资产提高信息安全项目安全能力和有效性所必需的关键组成部分有提高信息安全项目安全能力和有效性所必需的关键组成部分有哪些?哪些?越来越多的企业高管都开始意识到,信息安全问题可能会对企业造成不可修复的损害,因此信息安全的重要性也随之迅速提升。到2023年,30%的首席信息安全官(CISO)将以“为业务部门创造的价值”作为其业务绩效的直接评估标准。因此,安全与风险管理领导者必须制定和实施信息安全愿景,而该愿景需要既能大规模创造数字价值,又能切实管理安全风险。然而,提高信息安全能力及其有效性的关键在于成熟的框架,且该框架能够根据内外部各种因素来计划、建立、报告和修改信息安全活动。如果企业机构缺乏信息安全项目,那么其信息安全活动将不过是众多技术性实践的单纯集合,不能系统地解决信息安全风险和施以相应的对策。成熟的信息安全项目由七个部分组成,可高效满足企业机构的目标。信息安全项目的信息安全项目的7 17 1个目标个目标来源:Gartner评估和管理风险Gartner IT领导者使用信息安全项目成熟路线.管理管理管理职能部门管理员工和劳动力战略2.2.规划规划6.6.运营运营进行运营管理吸引并支持利益相关方3.3.进行沟通进行沟通7.7.保障保障提供保障保护基础设施4.4.保护保护管理信息安全项目成为客户如何调整信息安全项目以应对新一代威胁?如何调整信息安全项目以应对新一代威胁?成熟的信息安全项目是由政策、流程和架构实践组成的强大的治理集合,它提供了:用户、系统和配置活动的边界 针对设计、实施和运营的指导成熟的信息安全项目必须能够适应新一代威胁及其给企业机构带来的风险,并满足业务部门的需求和要求。信息安全项目的开发需要时间,需要具备可高度演进,能够针对变化进行自我调整的特性。而达到这种成熟度水平的信息安全项目需要整个团队的共同努力。首席信息安全官(CISO)必须意识到,作为具体技能的使用者,销售、市场和其他业务部门的负责人都是其重要的合作伙伴。而且,安全风险往往大规模发生在IT之外的部门开博体育。董事会对安全和风险管理的关注度越来越稿,90%的安全和风险管理领导者在过去一年中至少向其董事会汇报过一次信息安全问题。到2024年,60%的CISO将与销售、财务和市场等关键部门的领导者建立重要的伙伴关系。909060%使用信息安全项目成熟路线来源:GartnerGartner IT领导者成为客户主要包括哪些关键主要包括哪些关键步骤步骤?通过与已成功实施信息安全项目的客户的沟通互动,Gartner从中整理出了最佳实践洞察。路线图则展示了实现目标和预期成果的优先顺序,可用于协调所有利益相关方。下面将重点介绍一些关键步骤和相关的Gartner资源样本,更多细节请参阅完整版路线图。成熟的信息安全项目需要解决的一些重要问题:成熟的信息安全项目需要解决的一些重要问题:使用信息安全项目成熟路线如何使用商业语言传达信息安全的价值?信息安全项目的组成部分有哪些?1 1实施和维护信息安全项目的流程是怎样的?战略计划战略计划评估项目评估项目制定战略制定战略进行沟通进行沟通再次评估、优化改进再次评估、优化改进2 2Gartner IT领导者成为客户战略计划战略计划确定信息安全计划和预期的关键成果措施:Gartner提供的资源包括:研究报告:2021年领导力前瞻:安全与风险管理 研究报告:安全与风险管理IT Score评价模型 研究报告:信息安全控制映射工具 分析师问询:确定项目的目标和价值,以及关键利益相关方的角色和职责 更多了解关键业务重点,确定项目的使命、愿景;明晰业务、技术和威胁的驱动因素。明确项目的目标和价值,确定关键利益相关方的角色和职责。根据企业机构战略制定安全控制措施,并映射到标准化的安全框架中。评估项目评估项目使用信息安全项目成熟路线制定战略制定战略进行沟通进行沟通再次评估、优化改进再次评估、优化改进战略计划战略计划 更多Gartner IT领导者成为客户评估项目评估项目评估项目的当前状态和创建路线图任务:Gartner提供的资源包括:电话咨询:介绍GartnerBuySmart流程,审查战略、财务和技术要求,确定需要支出管理的领域 分析师问询:设计安全架构、政策框架和解决方案层,并讨论出更多的安全功能性评估方法 更多评估现有系统、员工、流程、工具、技术、用户意识、以及与第三方的互动情况。进行当前项目的成熟度基线评估,确定目标状态和进行差距分析。利用审计结果,制定与项目目标一致的战略草案和设计各重要阶段;获得利益相关方的反馈。使用信息安全项目成熟路线 更多评估项目评估项目制定战略制定战略进行沟通进行沟通再次评估、优化改进再次评估、优化改进战略计划战略计划Gartner IT领导者成为客户制定战略制定战略制定战略文件并开始初步实施任务:Gartner提供的资源包括:研究报告:向董事会提交状况报告的规则 分析师问询:确定和建立战略伙伴关系,明确供应商,并讨论出更实用的安全评估方法 更多 更多明确信息安全团队所需的角色及其职责,如承担责任、提供咨询和发出通知。培养与信息安全相关的重要能力,以及需要和当下缺少的技能。使用衡量指标和激励措施来推动各利益相关方共同承担相关责任。使用信息安全项目成熟路线评估项目评估项目制定战略制定战略进行沟通进行沟通再次评估、优化改进再次评估、优化改进战略计划战略计划Gartner IT领导者成为客户进行沟通进行沟通通过沟通,获得利益相关方的支持任务:Gartner提供的资源包括:电话咨询:制定企业机构和董事会关于价值交付的沟通计划 现场研讨会:向员工灌输安全行为文化;定制相关的培训和意识提高活动 Gartner IT Symposium/Xpo会议 更多 更多获得执行决策权、资源支持以及执行董事会的认可。升级现有报告方法和应对措施;制定发生网络漏洞后的沟通计划。对照关键指标评估项目进展情况;传达项目迄今为止所产生的价值。使用信息安全项目成熟路线评估项目评估项目制定战略制定战略进行沟通进行沟通再次评估、优化改进再次评估、优化改进战略计划战略计划Gartner IT领导者成为客户再次评估、优化改进再次评估、优化改进再次评估项目,进行跟踪和优化任务:Gartner提供的资源包括:电话咨询:讨论有助于进一步优化企业机构网络安全就绪程度的关键问题 分析师问询:培养逆向恶意软件工程、搜寻原因和来源确定等方面的能力;确定威胁发生的原因和来源 研究报告:如何有效搭建网络安全和技术风险演示模型 更多 更多确定项目结构,监测和对抗高级威胁建立逆向恶意软件工程、搜寻原因和来源确定等方面的能力;确定威胁发生的原因和来源再次进行项目成熟度评估,并进一步优化使用信息安全项目成熟路线评估项目评估项目制定战略制定战略进行沟通进行沟通再次评估、优化改进再次评估、优化改进战略计划战略计划Gartner IT领导者成为客户涉及哪些利益相关方?涉及哪些利益相关方?数字化业务最成功的企业组建了现代化项目跨部门团队。下图为Gartner建议应参与进信息安全项目的职能部门和角色,可有助于企业顺利完成项目各阶段的目标。CISOCISO领导网络安全战略和项目的制定,并确保其与业务战略和目标保持一致。指导进行项目评估、制定项目行动计划和执行项目,并在整个企业机构内沟通战略和项目进展,与关键利益相关方合作实施项目。应用和软件工程领导者及应用和软件工程领导者及其团队其团队CISO的关键合作伙伴。协助实施和操作信息安全计划和业务中的关键内容。企业架构和技术创新领导企业架构和技术创新领导者及其团队者及其团队与CISO和关键利益相关方合作,确保尽早了解信息安全要求。项目和组合管理项目和组合管理/PMO/PMO领导领导者及其团队者及其团队利用战略伙伴关系,进行适应性的项目协调和交付、资源管理、风险缓释和有效的组织管理,从而满足CISO的要求。安全和风险管理领导者安全和风险管理领导者及其团队及其团队与CISO合作,将网络安全纳入企业机构内所有的治理、风险和合规项目与流程中。技术专家团队技术专家团队评估企业业务环境中的运营、战术和技术情况,在运营层面设计、实施和执行信息安全政策和治理。根据需求提高技能。CIOCIO与企业机构领导者合作,指导设立信息安全项目和培养数字能力。确保信息安全项目与业务战略和目标保持一致。在整个企业机构内传达任务、战略和目标。基础设施和运营领导者基础设施和运营领导者及其团队及其团队CISO的关键合作伙伴。协助实施和操作信息安全计划和业务中的关键内容。使用信息安全项目成熟路线图,保护企业商业资产 1010Gartner IT领导者成为客户关键任务关键任务客户的目标是培养更成熟的信息安全能力,以保护业务安全并实现数字增长,同时在风险管理、运营精简和成本效益之间取得适当的平衡。GartnerGartner服务服务Gartner专家提供了一种方法和参与策略,可帮助风险团队更深入地了解业务的驱动因素,传达网络风险带来的业务影响。与此同时,在整个企业机构内就信息安全的商业价值达成一致。Gartner专家还利用了Gartner风险管理框架,重点关注业务方面和建立综合风险管理战略的关键绩效指标。项目成果项目成果在Gartner的支持下,该客户能够:大大提升业务部门对信息安全项目投资如何支持实现关键业务目标的理解 将业务风险和绩效管理项目与信息安全风险管理项目联系起来 提高业务部门对安全治理的持续参与度 将执行层面的安全指标从纯粹的运营指标转化为战略业务成果指标客户成功案例:提高安全风险管理水平,实现数字化增长客户成功案例:提高安全风险管理水平,实现数字化增长使用信息安全项目成熟路线Gartner IT领导者成为客户使用信息安全项目成熟路线探索其他的网络安全免费资源和工具:路线图路线图网络安全IT路线图遵循最佳实践,制定弹性敏捷、可扩展的网络安全战略。电子书电子书新兴风险应对工具包:网络风险评估您的网络安全风险状态,您可使用该工具包加快风险处理的速度。电子书电子书2022年领导力前瞻安全风险管理领导者了解2021年安全与风险管理领导者应该关注的新兴趋势、预期挑战和后续措施。网络研讨会网络研讨会中国云安全的最佳实践安全与风险管理主管获得企业机构对其安全意识项目的支持的三种方法。访问本系列中的其他路线图:云迁移IT路线图优化路线图以提高数据治理的有效性可行的客观洞察可行的客观洞察已经是Gartner客户?您可在客户门户网站上获得更多的资源。登录Gartner IT领导者成为客户
智慧芽:5年美国专利诉讼分析报告(截止2023年5月)(12页).pdf
5年美国专利诉讼分析报告Part 1美国诉讼分析5年美国专利诉讼分析报告案件趋势分析该图表显示了美国每年的诉讼案件趋势。可以了解美国司法保护现状,比如,每年发生案件数量,是否在某一阶段呈现上涨趋势,帮助判断进入美国市场合理时机。5年美国专利诉讼分析报告NPE案件趋势分析该图显示了美国每年的NPE诉讼案件趋势。其中,以原告维度体现NPE与非NPE的案件数量细分。当NPE的占比或者增长率突然呈现上升或者下降趋势时,预示着该国知识产权相关法规可能进行了修订,或者经济环境突然改变。5年美国专利诉讼分析报告NPE类型占比分析该图显示了在美国市场上运作的NPE的类型分布。NPE活动还是主要以公司为主。5年美国专利诉讼分析报告案件时长分布该图显示了NPE以及非NPE诉讼案件所需的时间。这有助于了解在美国完成诉讼所需的平均时间,通常诉讼时间约12至15个月。5年美国专利诉讼分析报告技术领域分布该图显示了美国诉讼案件中涉及的热门技术领域(IPC小类或LOC大类)。有助于了解高诉讼风险的技术领域,以帮助您提前做好风险防控。5年美国专利诉讼分析报告热门领域Top10原告/被告该图显示了3大热门技术领域涉中相关案件的前10名原告以及相应的被告。这有助于了解在某些技术领域中诉讼集中发生在哪些企业,诉讼威胁来自哪里,您可以针对性地深度解读,参考学习做好自身防控。5年美国专利诉讼分析报告案由分布该图显示了案由整体分布情况。5年美国专利诉讼分析报告诉讼结果该图显示了已结案案件的结果细分。5年美国专利诉讼分析报告结案依据该图显示了结案依据的分布情况。5年美国专利诉讼分析报告Insights对于外部数据所作出的决定不承担任何责任:本报告(包括任何附件)将会为您带来独家的权益及优势。如果本报告用于其他特殊用途或者第三方团体使用本报告作于特殊目的,智慧芽公司,其下属员工,包括其合作伙伴或代理商将不承担任何责任。本报告中的所有信息均严格符合平台规则,但不能完全保证信息的完整性、准确性及所得结果的准确性;本报告中不包含任何明示或暗示的保证信息,且不包含不适用于特定用途的说明。在任何情况下,根据本报告中所包含的信息或者分析结果所引发造成的损失和最终决策意见,智慧芽公司,其下属员工,包括其合作伙伴或代理商将不承担任何责任。除非智慧芽公司事先明确书面同意,本报告任何部分均不得转载,分发或传达给任何第三方。5年美国专利诉讼分析报告
清华大学:2023基于分布式信任基础设施的新一代互联网体系结构白皮书(38页).pdf
基于分布式信任基础设施的 新一代互联网体系结构 白皮书(2023 年版)清华大学清华大学 中国信息通信研究院中国信息通信研究院 中钞信用卡产业发展有限公司中钞信用卡产业发展有限公司 中国移动咪咕文化科技集团公司中国移动咪咕文化科技集团公司 2023 年年 6 月月 目录目录 1.前言.1 2.研究背景.2 2.1 网络空间安全现状.2 2.2 内在需求.3 2.2.1 网络安全新视角.5 2.2.2 线 线 基于分布式信任基础设施的新一代互联网体系结构.7 2.3 现有技术基础.8 2.3.1 区块链技术的研究现状.8 2.3.2 互联网体系结构的研究现状.13 2.4 面临的挑战.14 2.4.1 稳定性问题.14 2.4.2 安全隐私问题.14 2.4.3 可扩展性问题.15 3.基于分布式信任基础设施的新一代互联网体系结构.16 3.1 分布式共识基础设施.17 3.2 线 分布式数字身份基础设施.19 3.5 打造安全可信互联网协议栈.19 4.应用案例.20 4.1 案例 1:层次化域间源地址验证.20 4.1.1 场景描述.20 4.1.2 核心方法.21 4.1.3 方案评价.23 4.2 案例 2:轻量级转发路径验证.24 4.2.1 场景描述.24 4.2.2 核心方法.25 4.2.3 方案评价.28 5.总结.29 6.展望.29 参考文献.31 缩略语.35 基于分布式信任基础设施的新一代互联网体系结构(2023 年)1 1.前言前言 自从 ARPANET 正式投入运行开始,互联网已经发展了 50 余年从最初仅有 4 个节点到如今全球接近 44 亿网络用户;从仅用于军事研究到如今“互联网 ”涵盖各个领域网络的概念已经渗入了人们生活的各个方面。由于时代的局限性,互联网设计之初没有考虑到网络规模的爆炸式增长以及网络应用的日趋多元化,由此带来的一些结构性安全隐患也开始频繁出现,给人们的生活和财产带来了严峻的挑战。针对现有互联网体系结构缺乏安全可信基础导致信任缺失、网络攻击频发的问题,迫切需要开展可信、高效、开放的新型网络体系结构和关键技术研究,实现开放网络环境下的信任开放网络环境下的信任建立与高效传递建立与高效传递,为互联网提供真实可信的“信任平面”。区块链是一项蓬勃发展的新技术,集分布式数据存储、点对点传输、共识机制、加密算法等多种技术于一身,以其去中心性、不可篡改性、公开透明性在各个领域得到了广泛应用。区块链技术的出现为解决互联网信任缺失问题提供了一个全新的解决思路:以区块链分布式信任基础设施以区块链分布式信任基础设施为基础建立为基础建立新一代新一代互联网体系互联网体系结构的信任面,构建安全互联网核心协议与关键技术结构的信任面,构建安全互联网核心协议与关键技术,确保节点身份真实可信、确保节点身份真实可信、网络传输真实可信、应用服务真实可信,网络传输真实可信、应用服务真实可信,保障保障开放网络环境下的信任建立与高效开放网络环境下的信任建立与高效传递传递,支撑真实可信网络应用的部署支撑真实可信网络应用的部署。本白皮书首次系统地从开放网络环境下互信互联的视角阐述了分布式信任基础设施,阐明了当前互联网对分布式信任基础设施的需求及其在解决互联网信任问题中不容忽视的重要作用,详细描述了基于分布式信任基础设施的新一代互联网体系结构,并从实际亟待解决的具体困难场景出发,给出了分布式信任基础设施在实际网络场景中的应用案例。此前,本团队前期所发布的基于智能协作的真实可信互联网体系结构白皮书1系统的阐述了如何结合智能硬件设施与协作学习框架来构建真实可信互联网体系结构,重点关注智能协作模型与智能算法的可信,本白皮书将进一步讨论如何利用分布式信任基础设施,保障开放网络环境下的信任建立与高效传递,支撑真实可信网络应用的部署。基于分布式信任基础设施的新一代互联网体系结构(2023 年)2 2.研究背景研究背景 在介绍基于分布式信任基础设施的新一代互联网体系结构之前,本章节首先从近年来互联网发展面临的安全威胁出发,探讨当前互联网体系结构对分布式信任基础设施的内在需求。后续章节将结合当前区块链技术、互联网体系结构的发展现状,阐述基于分布式信任基础设施的新一代互联网体系结构和关键技术。最后,本白皮书给出基于分布式信任基础设施打造安全可信互联网协议的应用案例。2.1 网络网络空间空间安全现状安全现状 互联网诞生之初开博体育,用户数量在百万级别,且用户与网络存在信任基础。但随着互联网不断发展,用户数量达到十亿规模并持续增长,数据中心、云计算、边缘计算等技术广泛应用于互联网,使得用户与网络的交互更复杂,传统互联网体系结构单纯地以信息传输为目的,在设计之初就缺乏信任基础,导致其面临严重安全威胁,如互联网缺乏真实地址鉴别能力,无法验证数据来源,带来源地址欺骗(Source Spoofing)、拒绝服务(Denial-of-Service,DoS)、路由劫持(Route Hijacking)等攻击,给互联网及相关经济、社会和军事系统带来极大破坏。并且,随着物联网的发展,互联网应用场景逐步走向人与万物互联,伴随物联网的发展产生了更大的安全隐患。据不完全统计2,相比 2021 年,2022 年上半年全球网络攻击数量大幅增加。如图 1,教育/科研、政务、网络服务提供商、通信、医疗等关键行业正在面临严重的网络安全威胁,网络安全问题不可忽视。基于分布式信任基础设施的新一代互联网体系结构(2023 年)3 图 1 2022 年上半年各行业网络攻击变化图(平均每周)1 此外,从图 2 所示的地域分布上来看,除北美、澳大利亚和欧洲等发达国家,全球绝大部分国家均面临十分严重的网络安全威胁,网络安全问题是互联网环境下所有用户共同面临的问题。图 2 全球网络威胁风险指标2 2.2 内在需求内在需求 想要彻底解决网络安全问题,并实现开放网络环境下的信任建立与高效传递,需要探究网络问题产生的根源。网络安全问题产生的根源在于互联网现有体系结 1 CHECK POINT RESEARCH:CYBER ATTACK TRENDS 2 CHECK POINT:CYBER ATTACK TRENDS 基于分布式信任基础设施的新一代互联网体系结构(2023 年)4 构的设计中缺乏端到端的信任,我们之前的工作将这种信任缺乏的主要表现总结为以下三个方面3:节点身份不可信节点身份不可信。节点身份真实可信是分布式节点间实现可信交互的基础,但由于互联网设计之初主要是用于连接一群互相信任的用户,因此并没有考虑对节点身份的验证问题,从而导致当今互联网身份伪造事件频繁发生,攻击者可以通过伪造 IP 地址,或者伪造用户身份向受害者发动攻击,从而逃避追踪。对于确保 IP 地址真实可信,已有主流方法是互联网服务提供商(Internet Service Provider,ISP)过滤域内伪造 IP 地址向外发送的数据包,但该方法要求所有管理域同时部署过滤机制才能完全发挥效果,因为未部署过滤机制的管理域内部节点依然能够随意伪造 IP 地址发送数据包。对于确保节点身份真实可信,已有主流的方法是基于公钥基础设施(Public Key Infrastructure,PKI),并引入第三方可信证书机构(Certificate Authority,CA)来对节点身份进行背书,但这种基于单点信任的方式同样造成了巨大的安全隐患。比如,荷兰 CA 安全证书提供商 DigiNotar遭受入侵为超过 500 个网站发布恶意证书4,以及证书颁发机构赛门铁克误发超过三万个证书扩展凭证5等事件表明,一旦这些信任中心发生事故,将对整个互联网造成严重影响。网络传输不可信网络传输不可信。网络主要的功能之一就是承载分布式网络节点间的信息传递,该功能是通过分布式网元节点间互相协作共同完成的,因此网络传输真实可信是建立在节点身份真实可信基础之上。网络传输过程中主要涉及控制平面和数据平面,其中控制平面负责路由策略的协商,从而指导数据平面的实际数据转发。控制平面的信任问题主要体现在域间路由安全上,恶意自治域(Autonomous System,AS)通过宣告虚假路由信息发动的前缀劫持和路径劫持等攻击、操作人员因失误造成的路由泄露等事件都将对数据传输造成严重的影响。目前针对该问题的主要解决思路是基于资源公钥基础设施(Resource Public Key Infrastructure,RPKI)进行路由源认证、BGPsec(BGP Security)进行路径认证和路由泄露保护。但 RPKI 引入一个中心化的权威 CA,在一定程度上剥夺了自治域对 IP 地址的所有权,使得自治域很难相信 CA,导致 RPKI 部署率较低。BGPsec 依赖 RPKI,需要每个自治域对路由进行签名和验证,开销较大,尚未实际部署。应用服务不可信应用服务不可信。互联网的最终目的是支撑各式各样功能强大的分布式应用基于分布式信任基础设施的新一代互联网体系结构(2023 年)5 服务,这些应用服务和用户的交互是建立在互联网之上;此外,对于大型分布式应用服务,其内部通常是由分布在不同地理位置的分布式节点通过网络交互相互协作而共同构建。因此开博体育,节点身份和网络传输的真实可信是构建真实可信应用服务的基础,但也并不是全部,因为不可信的服务提供者以及不安全的服务程序与数据对用户终端都会形成安全威胁。针对该问题目前的解决方案主要是依靠大众监管并及时举报恶意应用服务、或者引入第三方可信计算平台确保应用服务在运行时的可信。然而,仅仅依靠大众的自愿监管无法调动大家的积极性,缺少相应的激励机制;依靠可信硬件又引入了硬件厂商这样一个信任中心,同样存在着单点信任问题,一旦硬件本身出现漏洞、后门等,都将严重危害用户的隐私和安全。因此,我们提出提出基于分布式信任基础设施的新一代互联网体系结构设计思基于分布式信任基础设施的新一代互联网体系结构设计思路路,建立互联网体系结构的建立互联网体系结构的“信任平面信任平面”,期望解决现有体系结构的信任缺乏问题,期望解决现有体系结构的信任缺乏问题,最终实现开放网络环境下的信任建立与高效传递。最终实现开放网络环境下的信任建立与高效传递。2.2.1 网络安全新视角网络安全新视角 现有的网络安全技术往往采用“打补丁”的方式来实现节点身份、网络传输、应用服务的安全可信,到目前为止,各类解决方案不能从根本上解决网络面对的各种威胁。与传统的网络安全视角不同,我们采用一个全新的视角来看待网络安全问题:网络被视为一个大型状态机系统,IP 地址、数字证书、网络流量等网络数据被视为状态机的状态信息,网络环境中产生的各种计算行为,包括路由转发、证书颁布等被视为状态机的状态转移函数。进一步的,如果能够确保该互联网状态机中的所有状态数据都是可靠的,所有的计算行为都是可信的,那么该互联网状态机就会遵循事先设定的逻辑,可靠的执行下去,最终获得可信的互联网环境。区块链技术完美契合了我们对可信状态机系统的期望,区块链账本能够为关键网络数据提供可信存储,而智能合约能够保证关键网络计算行为的可靠。我们将基于区块链分布式体系结构实现的可信存储称为“真实存储”、基于区块链分布式体系结构所实现的可信计算称为“线。基于真实存储和真实计算,能够构建互联网体系结构的“信任平面”,支撑网络安全应用的搭建,实现开放网络环境下的信任建立与高效传递。基于分布式信任基础设施的新一代互联网体系结构(2023 年)6 2.2.2 真实存储真实存储 真实存储是将区块链作为一个可信存储平台,确保用户所存储的数据真实存在,不会被恶意篡改,并且面对用户的数据访问请求也能做出真实的回应。在基于区块链所构建的真实存储平台中,用户以交易的形式请求数据的增加、修改、撤销等操作,其它用户则可以按需对数据库的内容进行读取,并基于这些数据完成后续的计算工作。在对数据存取的整个流程中,区块链数据层提供的可审计性确保用户在访问数据时可以对其完整性进行验证;区块链网络层提供的去中心化特性则可以有效避免单点失效问题;区块链共识层提供的一致性和不可篡改性则确保用户访问所获取数据的真实性。相比于传统中心化的存储平台,基于区块链构建的分布式真实存储可以稳定运行,并且有效避免中心服务器宕机、恶意篡改、隐瞒数据,或者对不同用户提供不一致的访问结果等问题。2.2.3 真实计算真实计算 真实计算是在真实存储的基础之上,引入智能合约,进一步构建一个真实计算平台,确保计算流程的公开、透明、可验证,以及计算结果的真实、可信、不可篡改。在该计算平台中,计算逻辑被编码进智能合约中并部署在区块链上,用户可以通过发布交易来触发智能合约的执行,调用智能合约的交易以及智能合约的执行结果都被真实存储在区块链中。因此相比于传统中心化计算平台,基于区块链构建的分布式真实计算平台能在承担用户计算开销的同时,有效解决传统中心化计算平台计算流程不透明,计算结果不可验证,无法确保真实性等问题。基于分布式信任基础设施的新一代互联网体系结构(2023 年)7 2.2.4 基于分布式信任基础设施的新一代互联网体系结构基于分布式信任基础设施的新一代互联网体系结构 图 3 基于分布式信任基础设施的新一代互联网体系结构设计思路 区块链技术为区块链技术为解决开放网络环境下的信任建立与高效传递问题解决开放网络环境下的信任建立与高效传递问题提供了理论提供了理论基础与基本技术支撑,在此基础上,我们提出基础与基本技术支撑,在此基础上,我们提出基于分布式信任基础设施的新一代基于分布式信任基础设施的新一代互联网体系结构互联网体系结构设设计思路计思路,期望实现开放网络环境下的信任建立与高效传递,期望实现开放网络环境下的信任建立与高效传递。具体来说,我们提出:建立分布式共识基础设施,为开放网络环境下的可信互联提供信任基础。建立真实存储基础设施,为开放网络环境下所产生的海量数据提供可信记录,为关键网络数据提供快速查询与可信证明。建立真实计算基础设施,实现开放网络环境下可信、可验证的计算行为。建立分布式数字身份基础设施,为开放网络环境下组织/个人提供可信身份标识。基于分布式信任基础设施,打造安全可信互联网协议栈,支撑网络安全应用搭建。其中,分布式共识基础设施、真实存储基础设施、真实计算基础设施、分布式数字身份基础设施共同构成了分布式信任基础设施,安全可信互联网协议栈将基于分布式信任基础设施提供的信任接口构建。接下来,我们将着重介绍现有技术基础以及实现基于分布式信任基础设施的新一代互联网体系结构可能遇到的挑战。基于分布式信任基础设施的新一代互联网体系结构将会在第 3 节得到详细基于分布式信任基础设施的新一代互联网体系结构(2023 年)8 阐述。2.3 现有技术基础现有技术基础 互联网所存在的信任平面缺失问题是长期存在的,已经有学者在这方面进行了深入的研究,在基于区块链的去中心化网络基础设施方面,也已经具备一些技术基础。接下来,将从分布式信任基础设施依赖的区块链技术以及基础设施所支撑的互联网体系结构两个层面来分别介绍现有技术基础。2.3.1 区块链技术的研究现状区块链技术的研究现状 分布式信任基础设施致力于构建安全的网络服务,其安全性主要来源于存储安全与计算安全,真实存储与真实计算技术分别保证了存储安全与计算安全。而真实存储与真实计算技术本身的安全性又可以归结到区块链的共识机制。本部分将自底向上,分别介绍共识机制、真实存储技术、真实计算技术、分布式数字身份技术以及区块链应用平台的研究现状。1.共识机制的现状共识机制的现状 目前企业界联盟链常用的共识,例如 PBFT(Practical Byzantine Fault tolerance)7、HotStuff8、Sync HotStuff9以及其它相关改进共识协议都采用如图 4 所示的基于领导节点的协议设计模式,领导节点将来自客户端的交易排序并打包成区块提议给所有节点,节点间进行 13 轮投票(根据具体的共识设计而定)后达成共识。在共识运行过程中,所有其它共识节点都会对领导节点进行监测,当超过预计时间后共识依然无进展,则认为领导节点出现故障,此时触发视图变更过程完成领导更换。这类共识因为引入了领导节点,所以能确保高共识效率,但是对网络要求较高,当网络出现链路故障或延时不稳定时,可能会导致频繁的 leader 变更,从而造成性能下降。基于分布式信任基础设施的新一代互联网体系结构(2023 年)9 图 4 基于 Leader 节点的共识示意图 自 2016 年 HoneyBadger10被提出,实用化的异步拜占庭容错共识近期被广泛研究,其采用无领导节点的协议设计模式,能适应网络延时的变化。异步 BFT共识的另一个优势是能够充分利用所有节点的带宽资源,目前已经能在吞吐量这一指标上远胜于基于领导节点的共识,但是却牺牲了共识延时。相比基于领导节点的共识只需 46 个网络延时完成对交易的共识,最快的异步 BFT 共识Speeding-Dumbo11也需要平均 17 个网络延时才能完成共识。此外,异步 BFT 共识依然要求正确节点间能正常接收消息,当网络链路出现故障时,异步 BFT 共识可能需要等待链路恢复后才能继续正常运行。另一部分研究试图考虑共识网络中的链路错误,并设计能在非全连接的网络拓扑下稳定运行的共识,但根据 Tseng 等人的调研12总结,在非同步环境下实现非全连接拓扑假设下的确定性 BFT 共识是链路容错共识领域的一大挑战。2.真实存储技术的现状真实存储技术的现状 区块链最初主要是作为一个分布式、去中心化的公开账本,每个共识节点本地存储该账本并基于共识机制实现账本的一致性,少数节点合谋无法篡改账本内容,从而确保区块链所存储数据的真实性。近年来,随着区块链技术快速发展并应用到诸如身份管理、数据管理、网络安全等领域,区块链应用要求存储的数据量相比于数字货币交易显著提升,“所有共识节点存储所有区块链数据”这一存储模式严重限制着区块链的可扩展性。正是在这一背景下,区块链和传统分布式存储相结合的“真实存储”这一存储模式被广泛研究。“真实存储”的主要思想是将区块链和可认证数据结构(Authenticated Data Structure,ADS)结合,如图 5 所示,区块链不再是确保所有数据的不可篡改,而是以 ADS 形式来存储数据哈希、索引等存储开销小的信息,实现数据的可寻址基于分布式信任基础设施的新一代互联网体系结构(2023 年)10 与可验证等,确保“数据存储”这一行为是真实的,存储开销大的实际数据则是由少部分存储节点进行链下存储;当用户访问数据时,基于链上数据检索到所查询数据的存储位置,之后再请求获取真实数据;存储节点收到用户的数据访问请求后,在返回数据的同时结合链上存储的 ADS 来构造所返回数据的完整性证据,确保用户可以证明数据的真实性。ADS 数据结构在传统可验证存储场景中已经被大量研究,近几年,针对“真实存储”这一存储模式,大量研究旨在提出能有效和区块链结合的新的 ADS 结构,在丰富查询与验证接口的同时提高查询效率。图 5 线.真实计算技术的现状真实计算技术的现状 如图 6 所示,目前真实计算主流技术包括三种13:安全多方计算、联邦学习、可信执行环境。三种技术各有优劣,多种技术结合应用为行业共识,但仍然需要提升安全性、性能和通用性。1)安全多方计算)安全多方计算 在分布式网络中,多个参与实体在保密输入数据所有权的前提下,共同完成函数计算,并且各方除了计算结果之外,不能得到其他参与者的输入信息。它的优点是高安全性和高管控能力,但它的缺点在于性能方面存在局限。目前主要用于相对简单的运算逻辑,如数据安全查询、联合数据分析等。比较具有代表性的平台有华控清交 PrivPy 多方计算平台14、蚂蚁链摩斯安全计算平台15等。2)联邦学习)联邦学习 联邦学习的本质是多方协同的加密机器学习技术,在原始数据不对外输出的前提下,中心方通过联合各方数据建模。它的优点是容易开发、算力成本低,但基于分布式信任基础设施的新一代互联网体系结构(2023 年)11 缺点是安全性在三种技术中处于末位。主要适用于数据挖掘、大数据建模与预测分析类的复杂迭代计算场景。代表性平台包括微众银行 FATE 联邦数据网络平台16、平安科技蜂巢联邦智能平台、腾讯云 Angel PowerFL 平台17等。3)可信执行环境)可信执行环境 在硬件或软件环境中构建一个安全的硬件区域,各方数据统一汇聚到该区域内进行计算,目前主要实现路径是硬件。它的优点是安全性强、性能高、通用性强。但成本高,理论上存在测信道攻击的可能性。可用于计算逻辑复杂、数据量大、传输和加解密成本较高、性能要求较高的场景。代表性平台有百度 Mesa TEE安全计算平台18、华为云 TICS 平台19、蚂蚁 HyperEndave20等。图 6 线 此外,差分隐私、同态加密、可信计算和全栈可信等技术也被用于保护计算安全。最近,蚂蚁科技集团在现有真实计算技术的基础上,结合可信执行环境和密码协议,同时从安全性、性能、成本、适用性和可靠性五个方面综合考虑,提出可信密态计算(Trusted-Environment-based Cryptographic Computing,TECC)21。4.分布式数字身份的现状分布式数字身份的现状 2017 年(SBIR II 期间),Evernym 基于美国国家标准技术研究院特别出版物800-130(“加密密钥管理设计框架”)24,设计了基于区块链技术的分布式密钥管 3 中国信通院等:隐私保护计算技术研究报告 基于分布式信任基础设施的新一代互联网体系结构(2023 年)12 理系统(DKMS)25,打开了“一种基于区块链的更好、更安全的保护网络用户身份和隐私的方法”分布式身份研究的大门。当前,分布式身份研究已从三四年前的单一项目开博体育、单一技术研究进入到超大型技术公司为主导的标准化研究进程。2018 年,微软与 ID2020 联合开发分布式数字身份认证网络26,帮助个人和难民获得基本服务,在新居住地上获得医疗保健和教育服务,和获得数字化出生证明和教育证书;同年,微软与万事达合作推动数字身份的合作计划,解决难民身份归属的问题,确保这些用户可以获取正常的金融、社会服务,以及反洗钱。IBM 作为数字身份领域的引领者和践行者,近年布局多个与分布式数字身份相关的创业公司、项目、及联盟组织。其中包括,IBM 与 HyperLedger 共同发起的 Indy27开源项目,面向各方提供推广与合作。IBM与创业公司SecureKey,以及加拿大数字身份生态系统成员(包括主要银行、电信公司和政府机构)共同搭建区块链身份验证网络28,解决围绕身份问题的挑战,加拿大各大主要银行都加入了该数字身份生态系统。Visa 也于 2019 年第一季度与 IBM 联手推出基于区块链的数字身份识别系统29。值得一提的是,2020 年新冠病毒疫情引发的“covid19 凭证创新项目”30是基于DID自主权身份和可验证凭证的、以个人为中心的各类基础服务项目的合集,目前实施中的项目涉及全球 60 多个组织,200 多项3132。5.开放区块链应用开放区块链应用 随着区块链技术的不断发展,越来越多的企业开始加大对区块链技术的投入,并纷纷推出各自的区块链即服务(Blockchain as a service,BAAS)平台,微软的Azure Blockchain33就是其中的典型代表。微软推出的区块链即服务平台 Azure Blockchain 内置区块链管理功能,力求为企业的不同需求提供实时的解决方案。该平台支撑多种区块链网络,提供工具和命令行界面帮助用户轻松地构建区块链应用程序开博体育,并确保所部署区块链节点的安全性。其具体包括以下特性:支持多种区块链网络,例如 Quorum、Ethereum、Corda、Hyperledger;无需管理,平台会完成区块链网络的管理工作;简易部署,通过平台提供的工具以及命令行界面轻松部署区块链应用;轻松维护,平台会自动对节点的版本进行更新,无需用户耗时维护;安全,所有节点都由防火墙保护,节点间通过 TLS 交互,用户可添加认证模块、防火墙规则以及访问密钥。基于分布式信任基础设施的新一代互联网体系结构(2023 年)13 2.3.2 互联网体系结构的研究现状互联网体系结构的研究现状 现阶段网络安全问题产生的根源在于互联网现有体系结构面向性能的设计导致网络空间与用户空间缺乏信任机制,本部分将分别介绍互联网协议栈的安全现状与基于区块链的去中心化网络基础设施。1.互联网协议栈现状互联网协议栈现状 TCP/IP 作为当前网络安全体系架构所采用的主要通信协议模型,是实现网络数据安全通信的重要手段。据不完全统计,目前互联网中已有超过 80 亿台设备通过借助 TCP/IP 模型来实现设备间的通信。TCP/IP 安全模型通常包括了四层结构:链路层、网络层、传输层和应用层,其中每一层都部署着若干协议并负责特定功能,最终层层关联且相互配合,以此实现异构环境下网络互联。然而,当前网络空间安全体系主要采用的是集中式的中心化体系架构,即在通信协议模型TCP/IP 中,大多数网络通信协议的实施都需要基于可信的第三方网络安全基础设施来支撑,这使得网络安全体系架构可能面临着单点故障、隐私泄露等安全问题,一旦第三方网络安全基础设施发生故障或遭受恶意攻击,整个网络体系系统将会直接崩溃。公钥基础设施(PKI)作为重要的第三方网络安全基础设施,能够为网络通信提供加密、完整性验证及真实性鉴别等安全可靠的保障,是目前网络安全体系架构中不可缺少的重要基础设施。然而现有的公钥基础设施(PKI)也采用的是中心化体系架构,同样存在着上述安全隐患。2.去中心化的网络基础设施去中心化的网络基础设施 去中心化的基础设施主要目的是解决传统网络基础设施所存在的单点信任问题,例如 DNS(Domain Name System)、RPKI 等。域名币(Namecoin)34是针对传统域名系统单点信任问题的一种去中心化的域名系统解决方案,该方案于2011年被提出,是最早的解决方案。通过Namecoin,用户可以自动申请所需要的名字并随时更新该名字的绑定值,从而实现安全有效的域名管理。基于该平台,用户主要可以完成新名字创建、新名字初始化、名字更新三种操作,所有的操作均以交易的形式发布。IKP35是在 2017 年网络安全四大顶会之一的 IEEE Symposium on Security and Privacy 上由 Kubilay 等人所提出的一套 CA 监督方案,主要是针对公钥基础设施 PKI 中证书权威机构 CA 的单点信任问题。在该平台中,用户可以向 CA 购买“保险”,当恶意证书被检举时,基于分布式信任基础设施的新一代互联网体系结构(2023 年)14 平台会扣除 CA 的保证金用来赔偿用户并奖励检举者,从而监督 CA 的同时并吸引各方参与恶意证书检举。针对网络基础设施的单点信任问题,华为技术有限公司则进行了系统性考虑,提出了去中心化的互联网基础设施(Decentralized Internet Infrastructure,DII)36,该平台通过区块链记录 IP 地址、AS 号等数字资源的归属权以及域名等名字信息的映射信息,并在此基础上实现各种网络安全应用。2.4 面临的挑战面临的挑战 正所谓“宝剑锋从磨砺出,梅花香自苦寒来”,成功的路上不可避免地布满荆棘。互联网体系结构的发展也是如此,除区块链应用发展本身面临的诸多挑战外37,实现基于分布式信任基础设施的真实可信互联网体系结构仍面临诸多挑战。2.4.1 稳定性问题稳定性问题 分布式信任基础设施其本身也是一个分布式系统,其中各组件依靠网络互相通信实现分布式共识,并支撑着设施的稳定运行。因此,分布式信任基础设施在为分布式网络服务提供信任基础的同时也可能遭受各类网络攻击,例如 DDoS 攻击、TCP 侧信道攻击38、日蚀攻击39、BGP 劫持攻击40等,一旦这些攻击造成的共识节点间故障通信链路超过共识容忍的上限,将造成对分布式信任基础设施的拒绝服务攻击。因此,在考虑共识高效性的同时,需要设计一个稳定的拜占庭容错共识,提升分布式基础设施的链路容错能力,确保其稳定运行尽可能少依赖于底层网络的连通性,从而在面临网络攻击时依然能够有效提供服务;此外,在设计新共识时,如何证明其安全稳定性也是一个挑战。2.4.2 安全隐私问题安全隐私问题 安全性问题主要体现在新型互联网协议的设计方面,其安全性关系着分布式信任基础设施所支撑的网络服务的安全性。当前网络空间安全体系主要采用的是集中式的中心化体系架构,即在通信协议模型 TCP/IP 中,大多数网络通信协议的实施都需要基于可信的第三方网络安全基础设施来支撑,这使得网络安全体系架构可能面临着单点故障、隐私泄露等安全问题,一旦第三方网络安全基础设施发生故障或遭受恶意攻击,整个网络体系系统将会直接崩溃。此外,目前网络安基于分布式信任基础设施的新一代互联网体系结构(2023 年)15 全体系架构面临着严重的信任缺失问题。究其原因,在于现有网络安全体系架构所部署的通信协议,即互联网协议栈的原先设计更多地关注于网络通信架构的可靠性及网络数据的传输效率,而未详细考虑到网络通信的安全性问题。在面对如今多样复杂的网络恶意攻击手段时,基于 TCP/IP 模型的互联网协议栈早已无法满足网络通信基础设施对于当前复杂通信环境的安全需求。在 TCP/IP 模型中,通信节点需要借助互联网通信协议,如 TCP、RPKI、BGP 等来以点对点或端对端的传输方式实现数据传输。在此过程中,整个网络通信需要依靠双方自觉遵守协议规则来实现数据的可信传输,然而一旦任何通信一方存在作恶行为,整个网络系统都将面临着巨大的信任缺失及网络欺骗威胁。第三方中介机构的引入虽然可以在一定程度能提高网络通信的可信度,但这要求第三方中介机构具备绝对可信的信任资质且同时还需承担巨大的管理开销,一旦第三方中介机构出现作恶行为,整个网络系统同样将面临上述的安全隐患。基于分布式共识能够优先解决单点问题,并为网络中各组件的协作提供信任,但分布式共识由众多共识节点共同协作完成,每个节点上都存有一份完整的共识数据,从而也不可避免的带来隐私问题。而在基于共识构建分布式信任基础设施的过程中,隐私问题将严重影响参与者的积极性,因此设计分布式信任基础设施时,需要同时兼顾安全与隐私。2.4.3 可扩展性问题可扩展性问题 可扩展性问题主要体现在分布式共识、存储和计算三个方面。共识机制是是整个分布式信任基础设施的根本,其本身的可扩展性严重限制了分布式信任基础设施的发展,而大规模网络环境下的各种网络应用对共识机制的吞吐和实时性要求较高,这对共识算法的效率提出了巨大挑战。在存储方面,大规模的网络环境中,上层应用产生的数据,比如 AS 对应的IP 前缀、不同终端设备的源地址、网络流量信息等,其数据量是巨大的。而区块链的数据存储依赖于节点本身的存储能力,面对巨大的数据存储需求,区块链自身存储能力是不足的。此外,大规模的网络环境下,网络节点数量众多、网络通信频繁,导致交易检索和验证频繁网络活动的频繁,而且网络服务对数据检索和交易验证的实时性要求也相对较高。基于分布式信任基础设施的新一代互联网体系结构(2023 年)16 在计算方面,大规模的网络环境中计算任务是复杂的,很多计算任务都是大数据驱动的,产生了计算任务多以及计算任务重的问题。区块链的计算是在智能合约中完成的,而智能合约运行在虚拟机中,其计算能力是有限的,进而导致了区块链的计算能力是有限的,所以仅仅依靠区块链无法完成网络服务计算。因此需要建立更高效更灵活的计算模式。3.基于分布式信任基础设施的新一代互联网体系结构基于分布式信任基础设施的新一代互联网体系结构 基于分布式信任基础设施的新一代互联网体系结构,指的是以区块链分布式共识为基础,构建真实存储、真实计算与分布式数字身份基础设施,向网络上层提供存储、计算与身份三方面的信任基础,打造共识化新型互联网协议栈。图 7 基于分布式信任基础设施的新一代互联网体系结构 如图 7 所示,实现基于分布式信任基础设施的新一代互联网体系结构是一个自底向上的过程,主要包括三个层次。首先,第一层次是实现分布式共识基础设施,主要实现分布式信任,这里的单位节点可以是路由器,也可以是服务器,单位节点之间通过共识算法维护一致的账本。随后,第二层次是在第一层次构建的分布式信任基础之上搭建的真实存储、真实计算、分布式数字身份基础设施,利用链上链下协同存储、链上链下协同计算,以及零知识证明、同态加密、多方安基于分布式信任基础设施的新一代互联网体系结构(2023 年)17 全计算等技术实现存储接口、计算接口以及分布式身份接口,接口提供的存储服务、计算服务以及分布式身份具有原生的安全性保证。最后,第三层次是基于第二层次所提供的存储接口、计算接口和身份接口构建具有分布式信任的互联网协议栈,进而搭建安全可信互联网体系结构,实现开放网络环境下的信任建立与高效传递。3.1 分布式共识基础设施分布式共识基础设施 随着万物互联时代的到来,网络的复杂度将持续扩大,各类网络应用和网络攻击层出不穷,而基于区块链技术构建新一代互联网体系结构无疑对底层共识机制的安全性、性能提出巨大挑战。同时,由于不同网络应用对安全性、效率等要求不同,如何实现可根据实际部署环境灵活定制的共识机制成为研究的重点。分分布式共识基础设施旨在布式共识基础设施旨在突破高效、灵活的分布式共识技术,解决互联网应用层出突破高效、灵活的分布式共识技术,解决互联网应用层出不穷和共识技术安全、性能不足之间的矛盾不穷和共识技术安全、性能不足之间的矛盾,为构建为构建真实存储基础设施、真实计真实存储基础设施、真实计算基础设施、分布式数字身份基础设施算基础设施、分布式数字身份基础设施提供提供信任信任支撑支撑。分布式共识基础设施希望解决现有共识设施普遍存在的安全与效率问题,一方面,目前区块链的共识机制发展相对不成熟,其安全性是否足以支撑安全可信网络体系结构并没有很好的理论支撑;另一方面,面对网络用户的持续增长以及网络应用的复杂多样性化,共识机制是否足以支撑灵活多样的网络应用服务、满足持续增长的用户需求,依然有待研究。为有效构建新一代网络体系结构,并支撑大规模开放网络环境中的不同应用需求,分布式共识基础设施针对抗网络攻击和高性能共识,分别设计抗网络攻击的稳定拜占庭容错共识和高性能共识算法。抗网络攻击的稳定拜占庭容错共识主要针对网络链路不稳定和存在网络攻击的场景,在存在链路错误和网络攻击的环境下实现稳定的拜占庭容错共识。高性能分片共识主要针对当前共识算法存在的效率问题,并期望不进行任何安全性妥协。3.2 真实存储基础设施真实存储基础设施 随着数字时代的到来,互联网上产生的数据呈现几何式爆炸增长,数据的来源和形式千差万别,如何在海量的数据中分辨和验证其真实性成为摆在人们面前的一个难题;同时,由于大部分真实存储算法本身的局限性,如何在保证真实的情况下进一步适应大规模的特点,从而解决信息时代海量数据的真实存储问题是基于分布式信任基础设施的新一代互联网体系结构(2023 年)18 未来一个重要的研究方向。真实存储基础设施旨在突破分布式存储的真实性验证真实存储基础设施旨在突破分布式存储的真实性验证和保障技术,解决来源真实性、存储容量与实际存储需求之间的矛盾,为构建安和保障技术,解决来源真实性、存储容量与实际存储需求之间的矛盾,为构建安全可信互联网协议栈提供可信存储全可信互联网协议栈提供可信存储支撑支撑。具体来说,针对互联网环境中上层应用产生的海量数据,比如 AS 对应的 IP前缀、不同终端设备的源地址、网络流量信息等,其数据量是巨大的,区块链要求全节点存储所有数据信息的存储模式难以实现。真实存储基础设施对区块链存储模式进行改造,以 ADS 形式来存储数据哈希、索引等存储开销小的信息,实现数据的可寻址与可验证等,确保数据存储这一行为是真实的,存储开销大的实际数据则是由少部分存储节点进行链下存储;当用户访问数据时,基于链上数据检索到所查询数据的存储位置,之后再请求获取真实数据;存储节点收到用户的数据访问请求后,在返回数据的同时结合链上存储的 ADS 来构造所返回数据的完整性证据,确保用户可以证明数据的线 真实计算基础设施真实计算基础设施 随着云计算、边缘计算 p2p 网络等新兴技术应用的日常化,以往基于单点背书式信任的计算方法已经不能适应人们的日常需求。细粒度的计算带来的是参与者增多、信任风险升级的困境。一旦某一参与者发生问题,带来的是整个计算的不可信问题,进而可能造成更严重的损失。因此,确保互联网协议运行过程的真实可信、检测甚至避免信任风险的发生是值得探索的。真实计算基础设施旨在突真实计算基础设施旨在突破分布式协同计算中的真实性验证和保障技术,解决单点基础设施不可信与实破分布式协同计算中的真实性验证和保障技术,解决单点基础设施不可信与实际计算真实性之间的矛盾际计算真实性之间的矛盾,为构建安全可信互联网协议栈提供可信计算,为构建安全可信互联网协议栈提供可信计算支撑支撑。真实计算基础设施是在真实存储基础设施的基础之上,引入智能合约,确保计算流程的公开、透明、可验证,以及计算结果的真实、可信、不可篡改。其中,计算逻辑被编码进智能合约中并部署在区块链上,用户可以通过发布交易来触发智能合约的执行,调用智能合约的交易以及智能合约的执行结果都存储在区块链上。传统区块链系统中,所有节点都会通过智能合约完成计算任务,从而对计算结果进行验证。而在面对大规模的计算任务时,传统的所有节点都完成同一计算任务带来的开销是不能容忍的,真实存储旨在设计更高效更灵活的计算模式,并在此基础上实现整体计算的可信。基于分布式信任基础设施的新一代互联网体系结构(2023 年)19 3.4 分布式数字身份分布式数字身份基础设施基础设施 当前,全球身份标识符中的绝大多数由中心化权威机构发布,这些权威机构决定标识符所指的对象,并有权决定是否以及何时撤销。这些标识符的适用范围有限,并可能随着组织的消失而消失。在没有足够安全保证的情况下,它们可以被恶意第三方以欺诈方式复制和断言,这种“身份盗窃”不仅存在于个人、企业,也存在于机器等物联网设备。分布式数字身份旨在使个人和组织能够使用分布式数字身份旨在使个人和组织能够使用其其信任信任的系统生成的系统生成身份身份标识符,通过使用数字签名等加密证明方式为身份验证提供他标识符,通过使用数字签名等加密证明方式为身份验证提供他们对所声称持有的标识符的控制证明们对所声称持有的标识符的控制证明,为构建安全可信互联网协议栈提供可信,为构建安全可信互联网协议栈提供可信身份支撑身份支撑。由于几乎所有类型的标识符系统都可以添加对分布式身份标识符的支持,这为中心化身份系统、联盟身份系统和分布式身份系统之间建立了互操作的桥梁,实施者能够基于他们信任的计算基础设施设计特定类型的分布式数字身份,解决各类实体之间的机器层信任,此外,分布式数字身份技术通过引入可验证凭证,能够进一步实现标识实体的属性验证。基于标识符和密钥的机器信任可以克服网络实体不相邻问题所带来的身份识别挑战,为网络提供自主权和灵活性的同时保护隐私性和匿名性,同时为基于凭证的属性验证提供重要保证。构建在分布式身份标识符之上的每个凭证交换系统都代表特定于上下文创建的具体身份系统,且各身份系统之间支持互操作。分布式数字身份基础设施应包括开放的分布式数字身份连接协议、开放的可验证凭证协议、基于区块链的提供存储和检索支持的身份所有者公钥信息注册表三个核心组件,他们既相互独立又相互联系,支持在此之上的应用层中的交互。3.5 打造安全可信打造安全可信互联网协议栈互联网协议栈 由于互联网架构的早期设计并没有详细考虑安全问题,致使互联网体系结构信任面的确实,间接导致现阶段网络攻击频繁发生。随着未来物联网、元宇宙等应用比例的不断增长,更多细粒度的安全和信任需求对网络架构提出了新的要求,原有的网络体系结构难以为新应用发展提供舒适土壤。安全可信互联安全可信互联网协议栈旨在突破真实可信互联关键技术,解决互联网协同过程中信任面的缺网协议栈旨在突破真实可信互联关键技术,解决互联网协同过程中信任面的缺失与网络应用服务真实可信需求之间的矛盾失与网络应用服务真实可信需求之间的矛盾。基于分布式信任基础设施的新一代互联网体系结构(2023 年)20 具体来说,将基于真实存储、真实计算和真实身份基础设施打造安全可信互联网协议栈,支撑网络安全应用的搭建。传统互联网协议栈基于点对点或端对端的交互式通信模式来实现,如 TCP 协议“三次握手”、RPKI“证书分配”、BGP“路由转发”等,这种模式虽然能够实现较高的网络数据传输效率,但会存在管理中心化、信任缺失、监管不足等安全问题。域间分布式共识基础设施则是采用“共识化”通信模式,在通信过程中利用网络节点来参与或验证协议的执行,从而为通信双方在非可信网络环境下建立牢固的信任关系,且无需第三方信任背书即可实现安全性更高的网络通信。同时,共识、存储、执行在稳定性、可扩展性等方面的设计和优化也将提高域间分布式共识基础设施在共识、存储及验证等方面的安全与效率,使得通信双方在原有的通信效率基础上获得更高的安全保障。4.应用案例应用案例 为了进一步阐明分布式信任基础设施的应用场景,本白皮书以“层次化域间源地址验证”和“轻量级转发路径验证”为例说明信任基础对于提升互联网体系结构安全性的价值与意义。4.1 案例案例 1:层次化域间源地址验证:层次化域间源地址验证 4.1.1 场景场景描述描述 缺乏对源地址真实性的验证机制是当前互联网体系结构存在的一个重大安全设计缺陷。当前互联网面临的主要安全威胁中,以伪造源地址为基础的攻击手段(如身份哄骗、中间人攻击、DDoS 攻击、路由劫持、DNS 缓存投毒等)占据了重要地位41,这使得网络的安全可信面临极大的挑战,真实源地址验证成为亟需突破的互联网核心技术之一。清华大学于 2008 年制定的 RFC 521042中,将支持源地址验证的互联网体系结构(Source Address Validation Architecture,SAVA)划分为了三个层次,分别是接入网源地址验证层(简称接入层),关注设备入网时的源地址验证,保证主机设备粒度的 IP 源地址真实性;自治域内源地址验证层(简称域内层),关注自治域内部的源地址验证,保证地址前缀粒度的 IP 源地址真实性;以及自治域间基于分布式信任基础设施的新一代互联网体系结构(2023 年)21 源地址验证层(简称域间层),关注自治域间的源地址验证,保证自治域粒度的 IP 源地址真实性。接入层是地址粒度最细的层次,它保证了设备接口级别的安全,具有最精确的源地址验证保护粒度;域内层是中等地址粒度的层次,它保证了自治域内部的源地址的真实性,防止内部子网设备伪造源地址,保证地址前缀级别的安全,但是两者都不能保证来自更大范围的外部网络地址的真实性。自治域是由其隶属的互联网服务提供商(Internet Service Provider,ISP)进行管理、运营和维护的,因此自治域内部即接入层和域内层的源地址是相对容易管理和验证的,但是域间层的源地址验证可能会涉及到不同 ISP 之间的相互信任与协作。因此 ISP 需要使用具备较粗地址保护粒度的域间源地址验证,对隶属于不同自治域的 IP 地址进行线 核心方法核心方法 层次化域间源地址验证方案,使用去中心化的基础设施来防止单点故障且保证源前缀和自治域 AS 的对应关系不可篡改,将现有网络关系依据地理位置、商业利益、商业联盟等条件,划分为可嵌套的地址域,基于时间同步状态机产生一致性标签的方式,保证以地址域为基本单位的源地址真实可验证。本方案采用信任联盟的方式来组织所有节点。所有的地址域节点的集合构成一个信任联盟,这些节点全部部署了本方案。地址域是具有同样路由策略和 IP 地址前缀的节点集合,地址域本身是一个可嵌套的定义,本级地址域可以划分为多个子级地址域(也称为下级地址域),也可以作为子地址域构成超集地址域(也称为上级地址域)。最上层的地址域从 0 级开始,级别依次递增,0 级地址域也称为子信任联盟,简称子联盟。本方案采用联盟链管理所有节点的加入和退出。联盟链分为一条联盟管理链和多条私链。联盟管理链由各个子信任联盟的管理节点来构成,而各个子信任联盟中各自形成一条私链。联盟链通过打包子联盟管理节点提交的区块,记录各个子联盟的管理员节点的信息和成员列表。如图 8 所示,联盟成员私链中的数据块存放的是一个四元组(父地址域 ID 标识,地址域 ID 标识,IP 地址前缀集合,地址域公钥),代表的是联盟成员地址域的信息。基于分布式信任基础设施的新一代互联网体系结构(2023 年)22 图 8 节点管理 地址域的准入:地址域加入信任联盟即加入私链,其前提是该地址域具有联盟链上待加入子信任联盟的管理员节点签发的证书。地址域向期望加入的子信任联盟的管理员节点提交自身验证文件,包含 IP 地址前缀信息,管理员节点验证该文件的有效性。若该验证文件有效,则生成节点证书、公私钥信息以及地址域标识(ADID),把地址域自身信息打包上链,分发给该子信任联盟成员,更新子信任联盟成员列表,把私钥和地址域标识分发给准入地址域。管理员节点将其节点最新成员信息提交给联盟链打包成块,由联盟链更新整个信任联盟的联盟成员列表。此处地址域指非 0 级地址域。子信任联盟的准入:子信任联盟即 0 级地址域,其管理员节点向联盟链提交自身验证文件,包含子信任联盟内的成员信息列表和子信任联盟管理员节点的信息,申请加入联盟。联盟链管理委员会验证该请求的有效性,发放管理员证书并更新区块信息。管理员节点与当前信任联盟中其它子信任联盟管理员维护联盟管理链,管理各子信任联盟的管理员证书,并利用证书进行加密通信。管理员节点向联盟链提交子信任联盟的成员列表,加入整个信任联盟。节点退出:需要更新前缀信息为空,并向各个地址域信任联盟的管理员节点发送退出申请。其它子信任联盟管理员节点收到退出请求,需要删除其维护的前缀表和标签信息表中相应节点的信息。本方案采用基于时间同步状态机生成一致性加密标签方式,在源端添加标签,基于分布式信任基础设施的新一代互联网体系结构(2023 年)23 中间节点验证替换标签,目的端节点验证移除标签,通过标签正确性,保证源地址真实性。时间同步状态机是指由时间触发状态迁移,同时生成加密标签的装置,标签的本质是一串随机数,且状态机需要两端共同协商状态机初始状态、迁移间隔等参数,保证两端同时使用相同标签。状态机的维护是在控制服务器上完成的,每个地址域都需要部署一台控制服务器,用于同步前缀和地址域的绑定关系以及协商维护状态机。状态机生成的标签由控制服务器定时下发给各地址域边界路由器,完成标签的添加、验证和替换操作。4.1.3 方案评价方案评价 层次化域间源地址验证方案充分利用了 IPv6 良好的扩展性,采用目的选项扩展头,保证中间未部署路由器可以不处理、无感知。本方案也可以通过垫层的方式应用于 IPv4 网络。图 9 数据包转发示例 采用时间同步状态机生成标签保证源地址真实性可以有效地降低方案的假阳性问题,减少路由器判断错误产生的丢包数量。同时和路由无关,保证方案不会受到路由震荡和路由动态性的影响。状态机在本地运行,节省了协商密钥的通信开销。标签定期更换,保证了安全性。使用 HASH 保护原始标签可以保证原始标签不泄露,攻击者无法重用签名信息发起基于标签的重放攻击。但是使用 HASH 的标签方式,不可避免地引入了一些计算存储开销和计算开销。后者主要是 HASH 计算。在华三 CR19000 路由器平台测量结果显示,使基于分布式信任基础设施的新一代互联网体系结构(2023 年)24 用固定数据包长度的在,数据包长度达到 800B 时,路由器 100G 接口有效带宽为 96Gbps,以模拟真实流量数据包长度(大约 600B)分布,路由器 100G 接口有效带宽为 94Gbps。处理转发延迟增加值约为 20ns。基本可以符合现网部署、高速处理转发的要求。就未来方向而言,该方案可以利用智能协作来进一步解决恶意流量自动识别的精度调优问题,以及流量数据共享中的隐私问题。目前的困难在于相比于传统机器学习任务,恶意流量检测采用的流量数据规模更大,这给智能协作的效率带来了挑战。4.2 案例案例 2:轻量级转发路径验证:轻量级转发路径验证 4.2.1 场景场景描述描述 数据篡改、流量窃听等攻击为互联网带来巨大危害,为应对这些攻击,需要采取真实性路径验证,验证数据包真实转发路径是否与预期一致,通过对数据包真实转发路径的验证确保传输流量的安全性44。数据包转发路径验证涉及的实体主要包括用户(源节点和目的节点)和路由节点,这些实体间通过分布式基础设施共享了层次化的密钥,为实现用户对路由节点的转发过程验证提供了基础。总体说来,转发路径验证的目标主要包括两个方面:(1)用户可以验证转发路径上的路由节点是否按照其预期路径转发数据;(2)路由节点和目的节点能够验证数据包的来源并过滤恶意流量。为了确保攻击者难以避开或绕过路径验证,我们首先分析互联网数据包转发路径验证的攻击模型,然后基于此模型和网络现状制定路径验证的实现方法。如图 10 所示,在互联网跨域场景下,源节点(S)和目的节点(D)为使用路径验证服务的用户,包括路由器、交换机等网元设备或端主机设备。从源节点到目的节点的数据传输中,为转发路径上一系列路由节点。图 10 数据分组转发路径示意图 基于分布式信任基础设施的新一代互联网体系结构(2023 年)25 攻击模型采用 DolevYao 模型,即攻击者可以位于网络包含源、目的节点和路由节点的任何位置,能够被动窃听或主动篡改数据包,或丢弃、延迟、注入伪造数据包。但是对加密算法生成的认证码(Message Authentication Code,MAC),攻击者只能获取正常用户的加密密钥才能得到相应的认证码,或者通过破解对应的加密算法伪造认证码。攻击者如果控制了某一实体,如源节点、目的节点或网络路由节点,则能控制实体的行为,包括获取该实体拥有的密钥,以及进行数据包伪造和路径篡改等操作。具体来说,在网络转发路径存在的攻击包括以下几个方面:数据包损坏、路径不一致、重放攻击。其中,数据包损坏包括攻击者更改数据包的任何部分,例如源地址、数据包头和有效载荷,甚至丢弃数据分组,或向目的节点注入一个伪造的数据分组。路径不一致攻击是指用户期望转发路径记为=1;2;3;4,实际转发路径遭到篡改,从而与预期不一致。路径不一致攻击则主要通过路径篡改等手段,将流量转发至不在用户预期内的自治域,带来流量窃听等威胁。重放攻击是指攻击者通过重放合法数据分组以欺骗路由节点或目的节点,从而浪费带宽资源,或引起上层协议更严重的安全问题。4.2.2 核心方法核心方法 根据路径验证的目标,目前的方法主要通过以下两个步骤实现:(1)动态密钥共享,各实体间分享用于生成认证码的动态密钥;(2)基于认证码的数据分组验证,用户和路由节点通过在数据分组中嵌入认证码实现路径验证。但同类方案在密钥共享时,需要为每个数据分组临时生成一个动态密钥,密钥的生成需要采用如 AES 等级别的加密算法,引入了极大的计算开销,难以在转发速率达到数百 Gbps 的路由节点上实现线速处理;在基于认证码的数据分组验证方面,当前同类方案因为采用了逐包逐跳认证的方案,引入了较大的计算和网络通信开销,同时逐包验证的方式难以检测路由器丢包、重放等行为45。为降低计算开销、通信开销,提升检测路由器丢包、重放等行为的能力,在路由节点实现线速处理数据分组,提升可扩展性,清华大学计算机系徐恪教授团队提出了名为 MASK 的轻量级转发路径验证机制,具备低开销、高可靠、可扩展等特点46。基于分布式信任基础设施的新一代互联网体系结构(2023 年)26 MASK 机制整体设计如图 11 所示。首先,机制实现的支撑是动态密钥共享,基于分布式基础设施,在案例 1 中通过层次化方式为路由节点间建立了动态共享的密钥,作为验证的基础;然后源节点 S 在网络第三层(IP 头部)和第四层(TCP头部)之间创建新的 MASK 头部,初始化 MASK 头部各字段;路由节点以一定概率在 MASK 头部执行加密标识操作;目的节点执行预验证,验证数据完整性和标识有效性,判断数据分组转发是否存在异常;最后,目的节点恢复实际转发路径,通过比较期望转发路径和实际转发路径实现路径验证,并将验证结果通过ACK 向源节点发送。图 11 轻量级转发路径验证整体设计示意图(1)动态密钥共享 源节点(S)与目的节点(D)与路由节点共享动态密钥是实现安全验证的基础。通过分布式基础设施,在案例 1 中已建立了 AS A 中路由节点 i 和 AS B中路由节点 j 和之间的动态密钥()。该密钥用于节点之间相互认证,节点之间的密钥是层次化的,具体地,每个层次的入口路由器为源节点,出口路由器为目的节点,通过分段验证实现信任传递,建立对分组整个转发路径的验证能力。(2)源节点初始化头部 源节点向目的节点发送数据分组,在数据分组扩展包头中写入时间片和序号等信息47,以及执行验证操作的中间路由节点标识符,计算对应的认证码并嵌入数据分组头部,然后向中间路由节点发送。基于分布式信任基础设施的新一代互联网体系结构(2023 年)27 图 12 路径验证机制新增分组头部字段(3)路由节点处理 路由节点的处理是轻量级的,只需要根据共享密钥生成一个认证码即可完成数据分组过滤及验证码添加。具体地,路由节点接收到一个数据分组后,具有相同标识符()的路由节点按照概率执行数据分组验证,即计算并根据低32 位验证数据分组中源节点生成的认证码(mark),丢弃数据分组验证失败的数据分组;然后将高 32 位与数据分组中的异或,将数据分组转发到下一跳。当路由节点的标识与数据分组中源节点选定标识不一致时,路由节点无需进行数据分组验证,直接转发数据分组。(4)数据分组预验证 目的节点(D)收到数据分组后,基于动态密钥实现对每个数据分组的验证,并按时间片信息存取验证记录。在需要进行数据分组负载哈希验证的场景,目的节点还可进一步验证是否与数据分组哈希值一致,实现数据分组完整性验证,由于有了共享密钥,在一些保密性要求高的场景,该密钥还可以用于首个数据分组的数据加密。(5)转发路径恢复与路径验证 每个时间片结束时,目的节点根据与源节点的共享传输策略验证该时间片中各节点的传输行为是否符合预期,然后向源节点发送一个确认包(ACK),通告源节点验证结果。轻量级转发机制提供灵活的传输策略,作为缺省值,源和目的节点可以使用每个时间片 4000 个数据分组,采用每跳路由节点均匀添加认证码的方式,也可以根据传输速率协商更灵活的机制进行路径恢复与验证。由于有了逐流的统计信息,能够实现数据分组丢弃、重放等检测。但是,目的节点维护逐流信息可能会引起攻击者针对存储开销进行的 DoS 攻击。因此,源节点需要将flag 中首位设置为 1 表示需要维护逐流信息,flag 为 0 则仅进行逐包验证,由于flag 是认证码的输入之一,攻击者无法进行修改,从而难以伪造数据分组消耗目的节点的存储开销。基于分布式信任基础设施的新一代互联网体系结构(2023 年)28 4.2.3 方案评价方案评价 轻量级转发路径验证机制(MASK)具有较强的安全验证能力,能够识别攻击者对数据分组的损坏、路径不一致攻。